15
SSH mit Cisco 7975g
Zunächst möchte ich anmerken, dass dieses Thema (oder zumindest Teile davon) im Netz weit verstreut liegen. Aber, es gibt keine konkreten Lösungen für dieses NEUE Problem - daher habe ich mich dazu entschlossen, ein neues Thema zu erstellen und hoffe, dass es hier welche gibt, die Erfahrungen haben und eine Lösung bieten.
Problem: Kein SSH zugang (mit Putty) trotz freigabe in der SEPxxxxxxx.cnf.xml
(SSH-Wert: 0)
SSH-RSA 2 Keys wurden gemacht, gespeichert dem tftp Ordner für cmterm hinzugefügt.
Port 22 ist offen, Verbindung wird unerwartet getrennt.
Gerät: Cisco 7975g
SIP75.9-4-2SR3-1S
OS SW-ID: tnp75.9.4.2ES26.sbn
Betriebsart: Fritz.Box 7590, tftp32 (64bit)
Ziel: Wallpaper auf das Telefon uploaden.
Merkmale zu Putty: Habe bereits sämtliche gängigen Einstellungen gemacht, die man aus dem Netz bekommen kann. Inkl. anlegen der authorized_keys.txt / .ppk
(allerdings, bei der Reg. wird die authorized_keys.txt nicht auf's 7975 übertragen, wie es scheint)
Netzwerk:
192.168.2.1 (Fritz/DHCP/DNS), 192.168.2.2 HP Procurve 1080 24g IP statisch (ohne Trunks oder VLaN's), der Rest hat zum Teil statische, aber vom DHCP zugewiesene IP's und hängen am HP.
Die Prozedur mit dem tftp läuft auch mit dem HP dazwischen ganz gut (DHCP POOL, etc).
WebAccess Cisco: Ja
Advanced PortScanner: alle ALIVE, Ports werden angezeigt.
Jetzt frage ich mich, was Cisco da angestellt hat. Ich habe gelesen, dass Cisco die Phones für SSH gesperrt hat und man die Sache mit CUCM wieder einrichten kann. CUCM habe ich aber nicht, A) keinen Contract (für ein Auslaufmodell zahle ich nicht), und B) keine VM Umgebung dafür.
Wie bekommen wir jetzt die Kuh vom Eis?
Danke für jeden Hinweis, das wüsste ich bestimmt zu schätzen.
Grüße, der Mattes
Problem: Kein SSH zugang (mit Putty) trotz freigabe in der SEPxxxxxxx.cnf.xml
(SSH-Wert: 0)
SSH-RSA 2 Keys wurden gemacht, gespeichert dem tftp Ordner für cmterm hinzugefügt.
Port 22 ist offen, Verbindung wird unerwartet getrennt.
Gerät: Cisco 7975g
SIP75.9-4-2SR3-1S
OS SW-ID: tnp75.9.4.2ES26.sbn
Betriebsart: Fritz.Box 7590, tftp32 (64bit)
Ziel: Wallpaper auf das Telefon uploaden.
Merkmale zu Putty: Habe bereits sämtliche gängigen Einstellungen gemacht, die man aus dem Netz bekommen kann. Inkl. anlegen der authorized_keys.txt / .ppk
(allerdings, bei der Reg. wird die authorized_keys.txt nicht auf's 7975 übertragen, wie es scheint)
Netzwerk:
192.168.2.1 (Fritz/DHCP/DNS), 192.168.2.2 HP Procurve 1080 24g IP statisch (ohne Trunks oder VLaN's), der Rest hat zum Teil statische, aber vom DHCP zugewiesene IP's und hängen am HP.
Die Prozedur mit dem tftp läuft auch mit dem HP dazwischen ganz gut (DHCP POOL, etc).
WebAccess Cisco: Ja
Advanced PortScanner: alle ALIVE, Ports werden angezeigt.
Jetzt frage ich mich, was Cisco da angestellt hat. Ich habe gelesen, dass Cisco die Phones für SSH gesperrt hat und man die Sache mit CUCM wieder einrichten kann. CUCM habe ich aber nicht, A) keinen Contract (für ein Auslaufmodell zahle ich nicht), und B) keine VM Umgebung dafür.
Wie bekommen wir jetzt die Kuh vom Eis?
Danke für jeden Hinweis, das wüsste ich bestimmt zu schätzen.
Grüße, der Mattes
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1932845199
Url: https://administrator.de/contentid/1932845199
Printed on: May 4, 2024 at 21:05 o'clock
15 Comments
Latest comment
Problem: Kein SSH zugang (mit Putty) trotz freigabe in der SEPxxxxxxx.cnf.xml
WIE sieht denn deine Freigabe aus ?? Zu 98% hast du da einen Syntax Fehler begangen !In der Konfig Datei muss folgendes stehen:
<device>
<deviceProtocol>SIP</deviceProtocol>
<sshUserId>admin</sshUserId>
<sshPassword>cisco</sshPassword>
<devicePool>
....
<vendorConfig>
....
<sshAccess>0</sshAccess>
<sshPort>22</sshPort>
<webAccess>0</webAccess> Siehe dazu auch hier.
Hallo Aqui und danke für die schnelle Antwort.
Ich denke nicht, dass da was falsch ist (um genau zu sein, viele machen da kapitale Fehler, wenn es um wichtige Infos geht - ich verstehe dich also).
und wie gesagt, hab es ja schon da stehen, dass die 0 für AN und 1 für AUS steht...
Nur um das nochmal ganz klar zu sagen: Es läuft alles einwandfrei am Fon, von der REGISTRIERUNG bis zur benutzung.
Insofern ist "alles" richtig. Ich habe mehrere MNS auf diversen 7975/7965 eingerichtet und alles läuft. Der NTP braucht manchmal etwas... das war es aber auch schon.
Das Problem mit dem SSH scheint mir hier ein ganz isoliertes Problem zu sein.
Die Files sind alle da.
Ich denke nicht, dass da was falsch ist (um genau zu sein, viele machen da kapitale Fehler, wenn es um wichtige Infos geht - ich verstehe dich also).
-<device>
<fullConfig>true</fullConfig>
<deviceProtocol>SIP</deviceProtocol>
<sshUserId>admin</sshUserId>
<sshPassword>cisco</sshPassword>
.......
<pcPort>0</pcPort>
<settingsAccess>1</settingsAccess>
<garp>0</garp>
<voiceVlanAccess>0</voiceVlanAccess>
<videoCapability>0</videoCapability>
<autoSelectLineEnable>0</autoSelectLineEnable>
<sshAccess>0</sshAccess>
<sshPort>22</sshPort>
<webAccess>0</webAccess>und wie gesagt, hab es ja schon da stehen, dass die 0 für AN und 1 für AUS steht...
Nur um das nochmal ganz klar zu sagen: Es läuft alles einwandfrei am Fon, von der REGISTRIERUNG bis zur benutzung.
Insofern ist "alles" richtig. Ich habe mehrere MNS auf diversen 7975/7965 eingerichtet und alles läuft. Der NTP braucht manchmal etwas... das war es aber auch schon.
Das Problem mit dem SSH scheint mir hier ein ganz isoliertes Problem zu sein.
Die Files sind alle da.
Es kommt auch etwas auf deinen SSH Client an. Die Telefone supporten nur bestimmte Ciphers !
Mit moderneren Clients bekomt man dann häufig sowas:
ssh admin@192.168.x.y
Unable to negotiate with 192.168.x.y port 22: no matching cipher found. Their offer: aes128-cbc,aes256-cbc
oder auch
[SSH] Server Version OpenSSH_5.6
[SSH] Encryption used: aes128-cbc
Heute gängige Ciphers können auch die modernen Telefone wie z.B. 8865 nicht und weisen den SSH Zugang ab wenn du aes128-cbc, aes256-cbc in deinem SSH Client nicht explizit freigibst !
Das solltest du auch auf dem Radar haben.
Mit moderneren Clients bekomt man dann häufig sowas:
ssh admin@192.168.x.y
Unable to negotiate with 192.168.x.y port 22: no matching cipher found. Their offer: aes128-cbc,aes256-cbc
oder auch
[SSH] Server Version OpenSSH_5.6
[SSH] Encryption used: aes128-cbc
Heute gängige Ciphers können auch die modernen Telefone wie z.B. 8865 nicht und weisen den SSH Zugang ab wenn du aes128-cbc, aes256-cbc in deinem SSH Client nicht explizit freigibst !
Das solltest du auch auf dem Radar haben.
Zitat von @aqui:
Es kommt auch etwas auf deinen SSH Client an. Die Telefone supporten nur bestimmte Ciphers !
../..Es kommt auch etwas auf deinen SSH Client an. Die Telefone supporten nur bestimmte Ciphers !
[SSH] Encryption used: aes128-cbc //
Heute gängige Ciphers können auch die modernen Telefone wie z.B. 8865 nicht und weisen den SSH Zugang ab wenn du aes128-cbc, aes256-cbc in deinem SSH Client nicht explizit freigibst !
Das solltest du auch auf dem Radar haben.
Heute gängige Ciphers können auch die modernen Telefone wie z.B. 8865 nicht und weisen den SSH Zugang ab wenn du aes128-cbc, aes256-cbc in deinem SSH Client nicht explizit freigibst !
Das solltest du auch auf dem Radar haben.
Nun, ich sage es mal so: Davon ist mir nichts bekannt und davon habe ich auch nirgends etwas gesehen - eine Seite mit dem allgemeinem Prozedere wie man einen Key generiert dürfte allen bekannt sein. So bin auch ich vorgegangen und wie ->ebenfalls erwähnt<- ist es ein normaler SSH2-RSA generierter 1024 Bit Schlüssel (lt. Angaben des HOWTO).
Also, wenn das Telefon beim registrieren nicht die authorized_keys.txt zieht, wie soll das Telefon dann auch einen Handshake mit PuTTY ausführen? (ist jetzt nicht böse gemeint, aber auch mal richtig lesen und nicht alles überfliegen)
Der Witz ist: Ich komme ja nicht einmal zum Login im SSH - schon vorher kommt von PuTTY das,
"remote side unexpectedly closed network connection"
Das ist ein anderes Problem, als die dämliche cnf.xml - und bitte: Nicht fragen was ich auf dem Schirm habe - im Moment eigentlich nur "Maaaaaaaaan Cisco!!!"... :D
eine Seite mit dem allgemeinem Prozedere wie man einen Key generiert dürfte allen bekannt sein
Mit dem Key hat das nichts zu tun. Dein PuTTY (zumindestens in der aktuellen Version), MacOS und diverse andere SSH Clients nutzen keine AES128 Verschlüsselung mehr und rejecten dann die Session.https://documentation.help/PuTTY/config-ssh-encryption.html
Was also schlägst du vor?
Eine alte Version von PuTTY oder einen anderen SSH CLI?
Ich bin nämlich langsam durch (körperlich), das rumprobieren und durchlesen zerrt ganz schön an der Substanz.
Also, lt. Artikel -was ja schon klar war- kann ich natürlich mit den Methoden noch etwas trixen... Aber das war es dann auch schon.
Ist ja schon fast wie alte JAVA auf nem Switch und SSL reject...
Eine alte Version von PuTTY oder einen anderen SSH CLI?
Ich bin nämlich langsam durch (körperlich), das rumprobieren und durchlesen zerrt ganz schön an der Substanz.
Also, lt. Artikel -was ja schon klar war- kann ich natürlich mit den Methoden noch etwas trixen... Aber das war es dann auch schon.
Ist ja schon fast wie alte JAVA auf nem Switch und SSL reject...
Hier klappt der Zugang mit dem aktuellen PuTTY, MacOS und Debian Bullseye aus dem o.a. Grund nicht.
debianserver:~:# ssh admin@192.168.1.160
Unable to negotiate with 192.168.1.160 port 22: no matching cipher found. Their offer: aes128-cbc,aes256-cbc
Gibt man die Ciphers aber zwangsweise vor am SSH Client dann klappt es fehlerlos:
debianserver:~:# ssh -c aes128-cbc admin@192.168.1.160
admin@192.168.1.160's password:
cisco>
debianserver:~:# ssh admin@192.168.1.160
Unable to negotiate with 192.168.1.160 port 22: no matching cipher found. Their offer: aes128-cbc,aes256-cbc
Gibt man die Ciphers aber zwangsweise vor am SSH Client dann klappt es fehlerlos:
debianserver:~:# ssh -c aes128-cbc admin@192.168.1.160
admin@192.168.1.160's password:
cisco>
Danke erst einmal dafür.
Dann werde ich jetzt mal eine Std. Napping machen und gleich mal debian aufsetzen...
Mit aes128-cbc auflösen.
Dann ist die Welt hoffentlich bald wieder in Ordnung 😉
Dann werde ich jetzt mal eine Std. Napping machen und gleich mal debian aufsetzen...
Mit aes128-cbc auflösen.
Dann ist die Welt hoffentlich bald wieder in Ordnung 😉
und gleich mal debian aufsetzen...
Aktueller Raspberry oder Orange Pi Zero tuts auch
Moin Aqui...
Also - der Beitrag von dem ich sprach ist tatsächlich HIER
In diesem sagst du, dass es reibungslos gehen müsste, aber ich habe, wie der andere auch, zwei Wege zur Abfrage.
Starte ich mit default@192.168.2.7 kommt das:
default@192.168.2.7's password: (Eingabe: user]
Permission denied, playe try again.
Bei der anderen Variante (user und pass in der xml mal geändert) kommt das:
ruut@192.168.2.7's password: [Eingabe: c123]
login: default
challenge: XZQHEOXYpassword: [Eingabe: user]
Invalid Username/Password Entry.
Da ist doch irgendwas faul....
Also - der Beitrag von dem ich sprach ist tatsächlich HIER
In diesem sagst du, dass es reibungslos gehen müsste, aber ich habe, wie der andere auch, zwei Wege zur Abfrage.
Starte ich mit default@192.168.2.7 kommt das:
default@192.168.2.7's password: (Eingabe: user]
Permission denied, playe try again.
Bei der anderen Variante (user und pass in der xml mal geändert) kommt das:
ruut@192.168.2.7's password: [Eingabe: c123]
login: default
challenge: XZQHEOXYpassword: [Eingabe: user]
Invalid Username/Password Entry.
Da ist doch irgendwas faul....
Das Telefon muss nach der Änderung der XML Datei einmal rebooten um die geänderte Datei neu einzulesen ! Hier klappt es problemlos auf allen 79ern, 8811 und 8865.
Okay... Weil ich dich lieb habe, mache ich noch mal ein Hardreset (Stromlos)... xD
War übrigens gerade baden, sorry. Jetzt bin ich present.
War übrigens gerade baden, sorry. Jetzt bin ich present.
Keine Veränderung
Zitat von @aqui:
Das Telefon muss nach der Änderung der XML Datei einmal rebooten um die geänderte Datei neu einzulesen ! Hier klappt es problemlos auf allen 79ern, 8811 und 8865.
Das Telefon muss nach der Änderung der XML Datei einmal rebooten um die geänderte Datei neu einzulesen ! Hier klappt es problemlos auf allen 79ern, 8811 und 8865.
Sag mal, hälst du mich wirklich für so bescheuert oder was? Oder sind das deine standard Antworten nach jeder Prozedur des Fragenstellers? Ich bin jetzt echt sauer... Warte hier den ganzen verdammten Tag auf Hilfe, aber außer dir bietet sich leider niemand sonst an.
Ich habe dein Spiel jetzt vom Anfang bis hier hin mitgemacht und ständig lieferst du Antworten, die mit meinem Setup bereits einhergehen, willst du mich veralbern? - der Typ im anderen Beitrag hat auch nie konkrete Antworten von dir bekommen und musste ständig nachfragen, du ziehst hier exakt die gleiche Nummer ab! An der Stelle wo das Challenge vorkommt, kommt von dir nichts mehr...
Ich denke, du hast gar keinen Plan was wirklich zu tun ist, weil du nie wirklich nach Fehlern suchen musstest (und irgendwo fliegt noch ne alte CUCM rum, damit gibt es natürlich perfekten Zugriff auf die Geräte).
Tja, aber falls doch, dann bist du richtig ranzig mit dem rausrücken an Infos, mein Lieber!
Also entweder, du hilfst, oder eben nicht - aber dann verzieh dich einfach - eine wirkliche Hilfe warst du bis jetzt nämlich nicht (die Idee mit dem Linux war eh schon meine nächste Option)...
Wofür gibt es Foren überhaupt noch???
Es gibt nur eine Lösung: Alte FW (SIP75.8.5.4-1S) drauf, xml wie beschrieben einrichten - fertig.
Nach 2-facher Abfrage kommt dann der Prompt mit $ im shell.
$ set
(Auflistung des Setups wird angezeigt)
Der Rest ist dann recht simpel,
man benutzt tftp -s xxx.xxx.xxx.xxx <Datei> <Ziel>
Man muss natürlich darauf achten, dass die zu ladenen Files auch im Verzeichnis des tftp Servers liegen und das Zielverzeichnis stimmt. Voila... Im tftp logfenster geht es rund.
Ein Hinweis noch: Es ist ein tftp shell, Kommandos wie DIR und SHOW gibt es nicht. CD, PWD und dergleichen, also nicht gleich wie ftp.
[Unpassenden Inhalt entfernt, bitte höflich bleiben! / Moderation]
Nach 2-facher Abfrage kommt dann der Prompt mit $ im shell.
$ set
(Auflistung des Setups wird angezeigt)
Der Rest ist dann recht simpel,
man benutzt tftp -s xxx.xxx.xxx.xxx <Datei> <Ziel>
Man muss natürlich darauf achten, dass die zu ladenen Files auch im Verzeichnis des tftp Servers liegen und das Zielverzeichnis stimmt. Voila... Im tftp logfenster geht es rund.
Ein Hinweis noch: Es ist ein tftp shell, Kommandos wie DIR und SHOW gibt es nicht. CD, PWD und dergleichen, also nicht gleich wie ftp.
[Unpassenden Inhalt entfernt, bitte höflich bleiben! / Moderation]
